谷歌和Mozilla决定从Chrome和Firefox禁止中国证书局CNNIC
谷歌和Mozilla宣布,他们的浏览器将停止信任中国互联网网络信息中心(CNNIC)主要数字证书颁发机构颁发的所有数字证书。该决定遵循谷歌上周的新闻,该消息于3月20日表示,它发现了几个域的未经授权的数字证书。谷歌发现证书是由埃及的MCS控股颁发的,该授权是CNNIC允许运营的中级证书。
4月1日,谷歌使用以下声明更新了其博客文章:
由于联合调查了谷歌和CNNIC围绕这一事件的事件,我们决定在谷歌产品中不再识别CNNIC root和ev CAS。这将在未来的Chrome更新中生效。为了帮助受此决定影响的客户,在有限的时间内,我们将通过使用公开披露的白名单,允许CNNIC现有证书继续被标记为Chrome的信任。
虽然我们也不遵循任何进一步的未经授权的数字证书,但我们也不认为散发的证书在MCS控股网络的有限范围之外,CNNIC将努力防止任何未来的事件。CNNIC将在任何重新划分请求之前为其所有证书实施证书透明度。我们在主动步骤中赞扬CNNIC,并欢迎他们一旦合适的技术和程序控制就到位了。
换句话说,Chrome用户将获得Cnnic认证的新网站的安全警告,特别是那些需要输入登录信息的网站。一些页面,例如涉及货币交易的页面,将简单地停止工作(任何值得盐的银行或商务网站都不允许金钱在没有适当的安全的情况下移动)。
谷歌并没有说完此更改将生效(公司通常指定安全更改和更新的Chrome版本号)。它可能希望为受影响的网站运营商提供时间来切换到不同的证书颁发机构。
CNNIC于4月2日(如今)回复:
1.谷歌已经做出的决定是不可接受的,也无法对CNNIC进行的,而且同样的CNNICE真诚地敦促谷歌将充分考虑用户的权利和利益。
2.对于CNNIC已经发布了证书的用户来说,我们保证您的合法权益不会受到影响。
目前尚不清楚CNNIC计划在第二点做一些具体的事情。该公司可能仍称重其选择。
Mozilla今天在谷歌的脚步之后:
在审查情况并对我们的公开邮件列表上进行强劲讨论后,我们已经得出结论,CNNIC在没有记录的PKI实践的公司向公司发布不受约束的中间证书的行为,并没有监督私钥如何存储或控制如何是“根据Mozilla的CA证书执法政策,逐渐练习。因此,在公开讨论和审议范围和影响一系列选项之后,我们决定更新我们的代码,以便Mozilla产品将不再信任CNNIC的根源的任何证书,并在2015年4月1日或之后使用令人置信的日期。
将被检查的令人费解的日期被CNNIC插入证书。因此,我们将以CNNIC用于其目前有效证书的全面列表,并发布它。在提供清单后,如果在2015年4月1日之前未在列表上的证书,我们或其他任何人在公共互联网上检测到,我们保留采取进一步行动的权利。
像谷歌一样,Mozilla正在提供CNNIC,可以重新申请全部包容。假设CNNIC符合谷歌和Mozilla的要求,因此可能会删除该限制。
如果Chrome和Firefox要停止识别CNNIC发布的所有网站证书,那么中国的影响可能会巨大;数百万用户突然无法连接到各种网站。据推测,谷歌和Mozilla将在翻转交换机之前等待合理的时间,因此网站运营商可以确保其网站将继续按预期工作。